服务器 Gind.cn
  1. 服务器 Gind.cn
  3. RapidSSL – 我真的需要包含根CA吗?
Intereting Posts
无法ping,虽然可以下载软件包 增加Apache服务器可用性 libvirt TCP隧道networking仅适用于2个虚拟机 乱序数据包有什么问题? 为什么ICMPredirect主机发生? Comctl32.dll包含哪个运行时包? SSH:如何禁用密码validation? 获取apache2加载新的PHP5 Webalizer仅显示日志中第一天的部分内容 IPTables多VLAN NAT到多个IP NGINX SSL终止速度慢 研究内部提供的邮件地址validation服务。 需要什么? Windows Server 2003 – 黑屏与光标启动 远程桌面软件具有低延迟 寻求关于Hyper-V存储复制的build议

RapidSSL – 我真的需要包含根CA吗?

我有一个RapidSSL证书,指示要求我在我的链中包含:RapidSSL SHA256 CA-G3,GeoTrust Global CA根目录和Equifax安全证书颁发机构根目录。

但是,这会在SSLLabs.com(SHA1withRSA-WEAK SIGNATURE)中使用GeoTrust和Equifax根证书创build各种警告。 我也看到警告:“中间证书有一个弱签名,尽快升级到SHA2,以避免浏览器警告”。

现在,如果我从我的链中删除GeoTrust和Equifax证书(并且只有我的证书+ RapidSSL SHA256 CA – G3),它会修复所有这些警告,并且一切看起来都很好。

它还以绿色“In trust store”的forms显示“GeoTrust Global CA”证书。

我是否有任何SSL问题从我的链中遗漏GeoTrust和Equifax证书?

SSL实验室输出(我的证书+ RapidSSL SHA256 CA – G3): 

Additional Certificates (if supplied) Certificates provided 2 (2279 bytes) Chain issues None #2 Subject RapidSSL SHA256 CA - G3 Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24 Valid until Fri, 20 May 2022 21:39:32 UTC (expires in 6 years and 9 months) Key RSA 2048 bits (e 65537) Issuer GeoTrust Global CA Signature algorithm SHA256withRSA Certification Paths Path #1: Trusted 1 Sent by server www.example.com Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013 RSA 2048 bits (e 65537) / SHA256withRSA 2 Sent by server RapidSSL SHA256 CA - G3 Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24 RSA 2048 bits (e 65537) / SHA256withRSA 3 In trust store GeoTrust Global CA Self-signed Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212 RSA 2048 bits (e 65537) / SHA1withRSA Weak or insecure signature, but no impact on root certificate

这似乎是CA已经完成交叉签名的情况。

有两个链以证书结束:

链1: 

 Path #1: Trusted 1 Sent by server www.example.com Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013 RSA 2048 bits (e 65537) / SHA256withRSA 2 Sent by server RapidSSL SHA256 CA - G3 Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24 RSA 2048 bits (e 65537) / SHA256withRSA 3 In trust store GeoTrust Global CA Self-signed Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212 RSA 2048 bits (e 65537) / SHA1withRSA Weak or insecure signature, but no impact on root certificate

链2: 

 Path #2: Trusted 1 Sent by server www.example.com Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013 RSA 2048 bits (e 65537) / SHA256withRSA 2 Sent by server RapidSSL SHA256 CA - G3 Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24 RSA 2048 bits (e 65537) / SHA256withRSA 3 Sent by server GeoTrust Global CA Fingerprint: 7359755c6df9a0abc3060bce369564c8ec4542a3 RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE 4 In trust store Equifax / Equifax Secure Certificate Authority Self-signed Fingerprint: d23209ad23d314232174e40d7f9d62139786633a RSA 1024 bits (e 65537) / SHA1withRSA WEAK KEY IN MOZILLA'S TRUST STORE MORE INFO » Weak or insecure signature, but no impact on root certificate

(从您的SSL实验室报告输出)

实际上,“链1”是主要的select,当第一次引入GeoTrust CA证书时,“链2”可能是感兴趣的,并不是每个人都有GeoTrust证书( de28f4a4ffe5b92fa3c503d1a349a7f9962a8212 )在他们的列表中,而他们可能都有Equifax ( d23209ad23d314232174e40d7f9d62139786633a )。

两条连锁在技术上仍然有效,但从Equifax根开始的连锁店正在显示其年龄。 它有一个1024位的根证书(现在认为是弱的),第一个中间证书是SHA1签名(现在认为是弱的)。

我想说,在这种情况下,可能很less提供“链2”的中间证书。
如果你想确认,不知道为什么他们仍然要求你为“第二链”服务证书,或想知道不这样做的兼容性问题可能是什么,我会build议你问你的CA.